Los atacantes ya no necesitan tu contraseña para entrar en tus cuentas. Con técnicas de phishing 2FA, interceptan en tiempo real el código de verificación que introduces pensando que estás a salvo. Herramientas como Evilginx han convertido el bypass de autenticación en dos factores en algo al alcance de cualquier script kiddie con ganas de tocar las narices. El phishing en tiempo real funciona como un proxy inverso entre tú y el servicio legítimo: tú ves la web real, metes tus credenciales y tu código 2FA, y el atacante captura todo —incluida la cookie de sesión— antes de que pestañees. El robo de código de verificación ya no es ciencia ficción; es la evolución lógica de un ecosistema donde la gente confía ciegamente en el SMS como segundo factor.
Cómo funciona el phishing que esquiva el 2FA
El truco es elegante en su sencillez. El atacante monta un servidor que actúa como intermediario (man-in-the-middle) entre la víctima y el servicio real —Gmail, Microsoft 365, tu banco—. Cuando la víctima accede al enlace de phishing, ve una réplica perfecta de la página de login. Pero no es una copia estática: es la web real, servida a través del proxy del atacante.
El flujo es este:
- Recibes un email o SMS con un enlace que parece legítimo (dominio parecido, certificado HTTPS válido).
- Introduces tu usuario y contraseña. El proxy los reenvía al servicio real.
- El servicio te pide el código 2FA. Tú lo introduces. El proxy lo captura y lo reenvía.
- El servicio genera una cookie de sesión. El proxy la intercepta antes de devolvértela.
- El atacante ya tiene tu sesión activa. No necesita tu contraseña ni tu código nunca más.
La herramienta más conocida para esto es Evilginx, un framework de código abierto desarrollado originalmente por Kuba Gretzky como prueba de concepto. Funciona sobre Nginx y permite crear phishlets —plantillas de ataque— para prácticamente cualquier servicio. Microsoft documentó en 2022 una campaña masiva que usaba esta técnica contra más de 10.000 organizaciones. El ataque no explotaba ninguna vulnerabilidad técnica del 2FA; simplemente lo hacía irrelevante.
Otras herramientas similares como Modlishka y Muraena siguen el mismo principio. Si te interesa entender cómo los atacantes roban sesiones activas sin necesitar credenciales, el concepto de session hijacking está directamente relacionado.
Por qué el SMS y las apps TOTP ya no bastan
Vamos a ser claros: el 2FA sigue siendo mejor que no tener nada. Pero no todos los segundos factores son iguales, y algunos son bastante más vulnerables que otros al phishing en tiempo real.
SMS: El peor de todos. Además del riesgo de SIM swapping (donde un atacante convence a tu operadora de transferir tu número), los códigos SMS son perfectamente capturables por un proxy MITM. NIST desaconsejó formalmente el SMS como segundo factor en 2017 (SP 800-63B), aunque medio mundo sigue usándolo.
Apps TOTP (Google Authenticator, Authy): Mejor que el SMS porque no dependen de la red móvil. Pero frente a un ataque de proxy en tiempo real, dan el mismo resultado: introduces el código de 6 dígitos, el proxy lo captura y lo usa antes de que expire. Los 30 segundos de validez del código son más que suficientes para un servidor automático.
Push notifications (Microsoft Authenticator, Duo): Algo mejores porque el usuario tiene que aprobar activamente. Pero la fatiga de MFA —bombardear al usuario con notificaciones hasta que aprueba una por error— se ha usado con éxito en ataques reales. El caso de Uber en septiembre de 2022 (atribuido al grupo Lapsus$) es el ejemplo de manual: un adolescente accedió a sistemas internos de una multinacional tecnológica usando exactamente esta técnica.
| Método 2FA | Resistente a proxy MITM | Resistente a SIM swap | Nivel de protección |
|---|---|---|---|
| SMS | No | No | Bajo |
| TOTP (app) | No | Sí | Medio |
| Push notification | No | Sí | Medio-alto |
| Llaves FIDO2/WebAuthn | Sí | Sí | Alto |
| Passkeys | Sí | Sí | Alto |
FIDO2 y passkeys: la defensa que realmente funciona
Si el bypass de autenticación de dos factores se basa en interceptar lo que tecleas, la solución es obvia: no teclear nada que pueda ser interceptado. Las llaves de seguridad FIDO2 (YubiKey, Google Titan, SoloKeys) y las passkeys resuelven el problema de raíz.
El protocolo WebAuthn, estándar del W3C desde 2019, vincula la autenticación criptográficamente al dominio real del servicio. Si el navegador detecta que estás en g00gle.com en lugar de google.com, la llave simplemente no responde. No hay código que capturar, no hay secreto que reenviar. El phishing 2FA con proxy inverso se vuelve inútil porque la criptografía verifica el dominio de forma automática, sin depender de que el usuario se fije en la URL.
Google publicó que, tras obligar a sus más de 85.000 empleados a usar llaves de seguridad en 2017, los ataques de phishing exitosos contra cuentas corporativas cayeron a cero. No a "casi cero". A cero.
Las passkeys, impulsadas por la alianza FIDO con Apple, Google y Microsoft, llevan esta protección al consumidor general. Funcionan con biometría del dispositivo (huella, Face ID) y se sincronizan entre dispositivos. No hay que comprar hardware adicional. iOS las soporta desde 2022 y Android desde 2023, y los principales servicios web las están adoptando progresivamente.
Si gestionas la seguridad de tu red doméstica o de una pequeña oficina, incluyendo los dispositivos IoT, aplica el mismo principio: minimiza las superficies de ataque. En el blog de domótica hay recursos útiles sobre cómo asegurar estos entornos.
Señales de un ataque de phishing 2FA en tiempo real
Detectar un ataque de robo de código de verificación en tiempo real es difícil precisamente porque la experiencia del usuario es casi idéntica a la legítima. Pero hay señales:
- URL sospechosa: El dominio no es exactamente el correcto. Puede ser
login-microsoft.comen lugar delogin.microsoftonline.com. Los atacantes registran dominios con certificados Let's Encrypt válidos, así que el candado HTTPS no significa nada. - Redirección extraña: Tras iniciar sesión, la página te redirige de forma rara, o tardas más de lo normal en acceder. El proxy añade latencia.
- Email o SMS de origen dudoso: El mensaje que te envió al enlace tenía urgencia artificial: "Tu cuenta será bloqueada en 24 horas", "Actividad sospechosa detectada".
- Alertas de inicio de sesión desde ubicación desconocida: Si recibes un aviso de que alguien accedió a tu cuenta desde otra ciudad o país justo después de hacer login, el atacante está usando tu sesión robada.
Antes de hacer clic en cualquier enlace que recibas por correo, verifica si el enlace es seguro usando herramientas como VirusTotal o URLScan.io. Tres segundos de comprobación pueden ahorrarte semanas de problemas.
Qué hacer si has picado
Si sospechas que has caído en un ataque de phishing en tiempo real con captura de sesión, actúa rápido. El atacante tiene tu cookie de sesión activa, pero puedes invalidarla.
- Cierra todas las sesiones activas desde la configuración de seguridad del servicio afectado. Google, Microsoft, Facebook y la mayoría de servicios permiten hacerlo. Esto invalida la cookie robada.
- Cambia la contraseña inmediatamente. Sí, aunque el atacante no la necesite directamente, cambiarla suele forzar el cierre de sesiones en muchos servicios.
- Revisa la actividad reciente de la cuenta: correos reenviados, reglas de bandeja creadas, aplicaciones autorizadas, datos modificados.
- Activa un método 2FA resistente a phishing (FIDO2/passkey) si el servicio lo permite. Si no, al menos pasa de SMS a una app TOTP.
- Reporta el dominio de phishing en Google Safe Browsing y en PhishTank.
Si el ataque afecta a tu organización, consulta un plan de respuesta a incidentes para coordinar la contención de forma ordenada. La improvisación en estos casos suele empeorar las cosas.
Preguntas frecuentes
¿El 2FA ya no sirve para nada?
Sigue siendo una capa de protección valiosa contra ataques de fuerza bruta y filtraciones de contraseñas. Lo que no detiene es el phishing sofisticado con proxy en tiempo real. La solución no es quitar el 2FA, sino usar métodos resistentes a phishing como llaves FIDO2 o passkeys.
¿Evilginx es legal?
Como herramienta, sí. Se distribuye como software de pruebas de seguridad (pentesting). Usarla contra sistemas sin autorización expresa es un delito en la mayoría de jurisdicciones, incluyendo España (artículos 197 y 264 del Código Penal). Es como un juego de ganzúas: tenerlo no es ilegal, abrir la puerta de tu vecino sí.
¿Las passkeys son realmente seguras o es otra moda?
Las passkeys se basan en criptografía asimétrica vinculada al dominio, el mismo principio que protege las conexiones HTTPS. No hay secreto compartido que interceptar. El estándar WebAuthn lleva años en uso en entornos corporativos con resultados probados. No es una moda: es la evolución natural de la autenticación.
¿Puedo detectar si mi código 2FA fue interceptado?
Directamente, no. Pero sí puedes detectar las consecuencias: inicios de sesión desde ubicaciones desconocidas, actividad que no reconoces, o alertas de seguridad del servicio. Configura las notificaciones de inicio de sesión en todos tus servicios críticos y revísalas.
¿Un gestor de contraseñas protege contra este tipo de phishing?
Parcialmente. Los gestores como Bitwarden o 1Password solo autocompletan credenciales si el dominio coincide exactamente. Si estás en un dominio falso, el gestor no ofrecerá las credenciales, lo que debería alertarte. No es infalible, pero añade una capa de verificación automática que tu cerebro bajo presión puede no hacer.
El siguiente paso
Entra ahora mismo en la configuración de seguridad de tu cuenta de Google o Microsoft y activa una passkey. Ambos servicios lo soportan de forma nativa desde hace más de un año. El proceso tarda menos de dos minutos y convierte tu teléfono en una llave de seguridad resistente a phishing 2FA. Si gestionas cuentas corporativas, evalúa la distribución de llaves YubiKey a los empleados con acceso a sistemas críticos —el coste aproximado de 30-60€ por unidad es insignificante comparado con el impacto de una sola cuenta comprometida—.
